甲骨文伺服器漏洞CVE-2017-10271被用於散布雙重門羅幣礦工

「用指尖改變世界」

CVE-2017-10271是Oracle WebLogic Server 12.2.1.2.0及更高版本中WebLogic Server安全服務(WLS安全性)中存在的輸入驗證漏洞，允許攻擊者利用該漏洞遠程執行任意代碼。

該漏洞的概念驗證代碼(POC)於2017年12月份由中國安全研究人員公布，趨勢科技的安全團隊近日發現，它已經被濫用來提供兩種不同的加密貨幣礦工：門羅幣(Monero)礦工XMRig的64位和32位變體。Windows操作系統的體系結構(32位或64位)決定了哪一個礦工執行，如果其中一個版本與受感染的Windows計算機系統不兼容，則另一個版本將運行。

趨勢科技檢測到的惡意軟體被稱為「Coinminer_MALXMR.JL-PS」，一旦執行，它將下載三個文件到受感染設備中：挖掘組件javaupd.exe(檢測為Coinminer_TOOLXMR.JL-WIN64)、自啟動組件startup.cmd(檢測為Coinminer_MALXMR.JL-BAT)以及另一個挖掘組件3.exe(檢測為Coinminer_MALXMR.JLT-WIN32)。

整個過程從安裝自啟動組件開始，惡意軟體通過將startup.cmd複製到受感染設備的Startup文件夾來完成此操作。cmd文件在系統啟動時打開，然後執行Powershell命令。

同時，兩個不同的計劃任務將被創建：一個用於下載礦工;另一個用於終止挖掘。創建這些計劃任務後，Coinminer_MALXMR.JL-PS將執行第一個有效載荷，即挖掘組件javaupd.exe，從而允許挖掘過程啟動。

第二個有效載荷，即下載的3.exe文件，將檢查系統是否正運行在32位平台上。如果是，它將下載並執行一個新文件LogonUI.exe(檢測為COINMINER_MALXMR.JL-WIN32)。LogonUI將註冊為一個名為「 Microsoft Telemetry」的服務，並創建一個每日執行的計劃任務。同時，最終的挖掘組件sqlservr.exe(檢測為COINMINER_TOOLXMR. JL-WIN32)將按照此計劃任務執行。

趨勢科技的研究人員表示，該惡意軟體會佔用系統的中央處理器(CPU)以及圖形處理器(GPU)資源來挖掘門羅幣，進而使系統運行異常緩慢以及性能下降。

本文由黑客視界綜合網路整理，圖片源自網路;轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！